Da Ina Sandven nylig kom hjem fra en reise i Asia, fikk hun en overraskelse da hun logget seg inn hos SAS.
– Noen hadde trukket 16.580 bonuspoeng tre ganger og kjøpt gavekort på Amazon for det, sier hun.
50.000 bonuspoeng koster i dag 10.400 kroner hos SAS.
Sandven er en av flere som nå har opplevd å få tappet sine bonuspoeng-kontoer hos SAS.
Fast mønster
SAS ble klar over problemene rett før helgen, og jobber nå med leverandøren sin for å øke sikkerheten og lage helkrypterte sider, sier pressekontakt Tormod Sandstø i SAS.
– Vi har identifisert 24 kunder som er rammet. Vi kjenner dem igjen på handlingsmønsteret, sier han.
Han vil ikke si nøyaktig hva likheten ligger i, men fellestrekket skal være at flere av trekkene er på tilsvarende beløp, og at poengene brukes på gavekort hos Amazon. Slike gavekort omsettes fritt på nettet, og stjålne bonuspoeng kan slik omsettes til penger.
På flyforumet Flytalk.com beskriver en kunde fra Danmark hvordan 16.580 poeng ble trukket fra hans konto tre ganger, og omsatt i Amazon-gavekort. SAS henviste den danske kunden videre til politiet, ifølge innlegget.
Poengtrekket er nøyaktig det samme som rammet Sandven. Hun tok kontakt med SAS 10. juni for å klage, men opplevde selskapet som lite hjelpsomt. I jakten på et svar, har hun vært innom gullmedlemsklubben til SAS og blitt henvist til Amazon, både i USA og England, men ikke fått noe svar.
– Jeg er irritert over måten SAS har håndtert det på. Det er ingen som tar tak i det eller vedkjenner seg noe som helst, og de har ikke vært hyggelige, bare henvist videre, sier Sandven.
Ukryptert
Da Sandvens sak dukket opp på forumet Flyprat.no, tok flere sikkerhetsinteresserte personer affære. De gikk løs på SAS’ nettløsninger, på jakt etter mulige forklaringer, forteller Per Thorsheim i it-sikkerhetsselskapet God Praksis.
Funnene mener han er «pinlige» for et selskap som SAS.
– Det er svært enkelt å få tak i innloggingsdetaljer. Dermed kan de endre flybookinger, kansellere bestillinger og kjøpe gavekort – blant annet, sier Thorsheim.
Ifølge Thorsheim har SAS et system der brukerens innloggingsinformasjon sendes ukryptert hver gang de laster ned en ny side på deler av selskapets nettside. Dermed risikerer man at dette snappes opp på usikrede trådløse nett.
– Svært enkle tiltak kunne fjernet faren for at dette kunne skje, sier Thorsheim.
Automatisert
Angrepene ser ut til å følge et mønster, og det kan tyde på helautomatiserte prosesser, sier Thorsheim. Han mener det kan være snakk om maskiner som skanner trådløse nett for informasjon de kan stjele, og at bonuspoeng kan bli et populært mål fremover.
– Her har noen funnet en valuta som kan omgjøres i penger via gavekort og varer, sier han.
– Sjekk kontoen og meld fra til SAS hvis du ser bruk av Eurobonus-poeng som du ikke har gjort selv, oppfordrer Thorsheim.
Lover poengene tilbake
Tormod Sandstø i SAS sier de tok tak i saken med en gang da de ble klar over problemet før helgen. Forum-innlegget fra januar tyder på at dette har pågått en stund.
Både den danske kunden og Sandven oppgir at de har meldt fra uten å bli hørt – bare vist videre.
– Det er veldig uheldig at hun opplever det slik, og det kan vi bare beklage. Kundene vil nå bli varslet og får igjen poengene sine, lover han.
Sandstø mener omfanget er lite.
– Folk kan gjerne sjekke saldoen sin, selv om vi antar å ha identifisert dem som er blitt rammet basert på kjøp og bevegelser på konto, sier Sandstø.
Han sier SAS og deres leverandør har full oversikt over transaksjoner, men vil ikke si hva slags feil som er funnet.
– Vi har ikke lyst til å kommentere på hvordan det har skjedd, det blir bare spekulasjoner, sier han.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.